R&S SITLine ETH Ethernet Verschlüsseler Sichere Datenüber tragung über Festnetz, Richtfunk und Satellit



Ähnliche Dokumente
R&S SITLine ETH Ethernet-Verschlüsseler Sichere Datenübertragung über Festnetz, Richtfunk und Satellit bis 40 Gbit/s

R&S EFW Flywheel Manuelle Einstellung von Empfängerparametern

Produktbroschüre R&S SITLine ETH Ethernet-Verschlüsseler Sichere Datenübertragung über Festnetz, Richtfunk und Satellit bis 40 Gbit/s

ANYWHERE Zugriff von externen Arbeitsplätzen

Rohde & Schwarz Service mit Mehrwert

Wir bringen Ihre USB Geräte ins Netz Ohne Wenn und Aber!

Root-Server für anspruchsvolle Lösungen

Virtual Private Network

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA. Fixed Line BESCHREIBUNG. carrier ethernet TBFL_PFK_MA_

Virtual Private Network. David Greber und Michael Wäger

estos UCServer Multiline TAPI Driver

Anleitung zur Nutzung des SharePort Utility

TopSec Mobile Sichere Sprachverschlüsselung. für Smartphones und Laptops. Produktbroschüre Sichere Kommunikation

FTP-Leitfaden RZ. Benutzerleitfaden

Lizenzierung von System Center 2012

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Systemvoraussetzungen und Installation

Avira Server Security Produktupdates. Best Practice

Digitale Zertifikate

Rechenzentren abhörsicher anbinden Echtzeit-Verschlüsselung mit 40 Gbit/s. Andreas Beierer Leiter Fachvertrieb

OP-LOG

Local Control Network Technische Dokumentation

L2 Box. Layer 2 Netzwerkverschlüsselung Nachweislich sicher, einfach, schnell.

R&S ATCMC16 Air Traffic Control Multikoppler Aktive 16-fach-VHF/UHFSignalverteilung

FrogSure Installation und Konfiguration

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

Verwendung des IDS Backup Systems unter Windows 2000

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

Adressen der BA Leipzig

Standortvernetzung: Erreichen Sie Security Compliance einfach und effizient durch Ethernet- Verschlüsselung

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Schnellstart. MX510 ohne mdex Dienstleistung

Cisco Security Monitoring, Analysis & Response System (MARS)

Anleitung Thunderbird Verschlu sselung

Kurzanleitung Datensicherungsclient (DS-Client)

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

HowTo: Einrichtung & Management von APs mittels des DWC-1000

Sichere für Rechtsanwälte & Notare

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake Schmallenberg

Einsparpotenzial für Unternehmen: Stromkosten und CO 2 ganz ohne Komfortverlust

Netzwerkeinstellungen unter Mac OS X

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

IBM Software Demos Tivoli Provisioning Manager for OS Deployment

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Powermanager Server- Client- Installation

ERPaaS TM. In nur drei Minuten zur individuellen Lösung und maximaler Flexibilität.

Netzwerk einrichten unter Windows

Dialogik Cloud. Die Arbeitsumgebung in der Cloud

DynDNS Router Betrieb

Formular»Fragenkatalog BIM-Server«

Systemanforderungen (Mai 2014)

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

Network Encryption Made in Germany Layer-1/2/3-Verschlüssler für Ihr Netzwerk

Der einfache Weg zu Sicherheit

Workshop: Eigenes Image ohne VMware-Programme erstellen

1 Planung Migration UNIMOD collect (=neues Release

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

Lizenzen auschecken. Was ist zu tun?

Bedienungsanleitung für den SecureCourier

16/24 Port Desktop & Rack-mountable Gigabit Ethernet Switch

GGAweb - WLAN Router Installationsanleitung Zyxel NBG 6616

Pfeilschnell abhörsicher in die Cloud: Ethernet-Verschlüsselung made in Germany

In 15 einfachen Schritten zum mobilen PC mit Paragon Drive Copy 10 und Microsoft Windows Virtual PC

v2.2 Die innovative Softwarelösung für kundenspezifisches Anrufmanagement Administrator-Handbuch

my-ditto festplattenfreie Version

Anleitung auf SEITE 2

Parallels Mac Management 3.5

-Verschlüsselung viel einfacher als Sie denken!

Lernwerkstatt 9 privat- Freischaltung

Technical Note ewon über DSL & VPN mit einander verbinden

Guide DynDNS und Portforwarding

Installationsanleitung Webserver - Datenkommunikation

NTCS Synchronisation mit Exchange

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Grafische Darstellung des Gerätezustandes und detaillierte Statusinformationen auf einem Blick

managed.voip Wir machen s einfach.

Welche HP KVM Switche gibt es

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Berührungslose Datenerfassung. easyident-usb Stickreader. Art. Nr. FS-0012

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Anwendungshinweis Nr. 12. Wie konfiguriere ich redundante Serververbindungen

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

VIRTUAL PRIVATE NETWORKS

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Zunächst empfehlen wir Ihnen die bestehenden Daten Ihres Gerätes auf USB oder im internen Speicher des Gerätes zu sichern.

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Treuhand Cloud. Die Arbeitsumgebung in der Cloud

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Rechenzentrum der Ruhr-Universität Bochum. Integration von egroupware an der RUB in Outlook 2010 mit Funambol

Installation und Inbetriebnahme von SolidWorks

R&S ENY81-CA6 Kopplungsnetzwerk Für Störaussendungsund Störfestigkeitsmessungen. TK-Schnitt stellen. Datenblatt Messtechnik

Auftrag zum Erwerb und zur Einrichtung von Fernverbindungen Version 1 Version 2 Version 3 Allgemeines

Transkript:

SITLine-ETH_bro_de_5214-0724-11_v0600.indd 1 Produktbroschüre 06.00 Sichere Kommunikation R&S SITLine ETH Ethernet Verschlüsseler Sichere Datenüber tragung über Festnetz, Richtfunk und Satellit 15.05.2013 13:58:09

R&S SITLine ETH Ethernet Verschlüsseler Auf einen Blick R&S SITLine ETH ist eine Gerätefamilie für Ethernet Verschlüsselung und die Schaffung sicherer Layer 2 Virtual Private Networks (L2 VPN). R&S SITLine ETH schützt Unternehmen und Organisationen vor Spionage und Manipulation der Daten, die über Festnetz, Funk oder Satellit per Ethernet übertragen werden. Die Geräte der Produkt familie sind BSI zugelassen und können flexibel bei vielen stationären und mobilen Anwendungen eingesetzt werden. R&S SITLine ETH verschlüsselt auf Ethernet-Basis im ISO-OSI-Modell der Data Link Layer 2 und ist somit ideal für den Schutz von durchsatz- und zeitkritischen Anwendungen. Geschützt werden Kommunikationsverbindungen über öffentliche und private Netze. Mit R&S SITLine ETH können die vorhandenen Sicherheitsanforderungen unabhängig von der existierenden beziehungsweise geplanten Netzstruktur abgebildet werden. Aufgrund der hohen Kostenersparnis haben sich Ethernet-VPNs in den letzten Jahren als echte Alternative zu Managed-IP-Anschlüssen (IP-VPNs) bei der Standortvernetzung etabliert. R&S SITLine ETH bedient diese Technologie mit verschiedenen Bauformen und unterschiedlichen Leistungsklassen. Die Gerätefamilie R&S SITLine ETH kann flexibel für wechselnde Anforderungen eingesetzt werden und bietet hohe Investitionssicherheit. Hauptmerkmale Ethernet-Verschlüsseler in den Leistungsklassen von 25 Mbit/s bis 1 Gbit/s Modernste kryptografische Methoden und Standards (Elliptische Kurven, AES, X.509) Flexibler Einsatz in modernen Übertragungsnetzen Verschlüsselung basierend auf Port-, VLAN- oder Gruppen-Zuordnung (Multipunkt) Maximale Bandbreiteneffizienz, Vermeidung von Overhead Komfortables Online-Management zur Gerätekonfiguration und für Sicherheits- und Netzwerkeinstellungen Sehr kompakte Bauweise (1 HE für Ein- und Mehrport- Geräte), sehr geringer Energieverbrauch, niedrige System kosten (TCO) BSI-zugelassen bis VS-NfD und NATO-Restricted R&S SITLine ETH100. R&S SITLine ETH50. 2

R&S SITLine ETH Ethernet Verschlüsseler Wesentliche Merkmale und Vorteile Sichert zivile, behördliche und militärische Kommunikation Vertrauliche Kommunikation zwischen Standorten und innerhalb eines Standortes (L2-VPN) Absicherung von Richtfunk- und Satellitenverbindungen (SatCom) Sicherung der Steuer- und Überwachungsnetze der Bahn Rechenzentren-Kopplung (Data Center, SAN) Seite 4 Reduzierte Systemkosten Minimaler Aufwand für Installation und Konfiguration Geringe Raum- und Energiekosten Geringere Übertragungskosten als Managed IP Geringer Wartungs- und Pflegeaufwand Bandbreiteneffizienz durch Gruppen-Verschlüsselung (Multipunkt) Keine Zusatzkosten für zentrale oder interne Schlüsselserver Höhere Übertragungsleistung als IPsec Seite 6 Professionelle, zertifizierte Sicherheit Sicherung von Ethernet-Standleitungen und Ethernet-VLANs Innovative Gruppen-Verschlüsselung für Multicast-Topologien (ELAN) Sichere Authentisierung Automatisierter Betrieb gesicherter Verbindungen Flexible Verschlüsselungshardware Manipulationsresistente Geräte Seite 8 Zentrales Sicherheits management über das Netz Online, bequem und sicher Virtualisierbar und hochverfügbar Klar definierte Rollen Zentrale Stelle für Log-Dateien und Audits Seite 10 Netzwerkmanagement mittels SNMP Unterstützt SNMP v1, v2c und v3 Umfangreiche Monitoring- und Diagnose-Möglichkeiten Netzwerkmanagement durch Dienstleister Seite 12 R&S SITLine ETH1G. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 3

Sichert zivile, behördliche und militärische Kommunikation Ursprünglich nur in lokalen Netzwerken (LAN) eingesetzt, ist Ethernet heute eine beständige und universelle Übertragungstechnik für Weitverkehrsnetze. Die Standortkopplung über globale Netze wird damit so einfach wie die Verkabelung im Haus. Dies gilt aller dings auch für die Angreif barkeit aus dem öffent lichen Netz: Abhören, Manipulieren und Stören sind so einfach wie in jedem Computernetzwerk. R&S SITLine ETH sichert die Kommunikation durch konsequente Verschlüsselung des Ethernets zugelassen durch das BSI. Vertrauliche Kommunikation zwischen Standorten und innerhalb eines Standortes (L2-VPN) Videokonferenzen, VoIP-Anrufe, Datenbankabfragen um Spionage und Datenmanipulation entgegenzuwirken, muss die Vertraulichkeit von Kommunikationsverbindungen innerhalb einer Organisation sichergestellt werden. Dies ist insbesondere dann wichtig, wenn Teile der Kommunikationsverbindungen über lange Strecken etabliert werden, wie bei weiträumig verteilten Standorten oder bei der Vernetzung innerhalb eines größeren Campus. Hier kommt die Flexibilität und Variabilität von R&S SITLine ETH voll zum Tragen, da alle Geräte interoperabel sind. In Abhängigkeit vom einzubeziehenden Standort kann die optimale Wahl des passenden Gerätes nach Kriterien wie erforderliche Übertragungs kapazität, Anzahl der erforderlichen Verbindungen und Umgebungsbedingungen erfolgen. Von der Verschlüsselung einzelner Leitungen beziehungsweise Anwendungen bis hin zur Sicherung komplexer Strukturen durch die Interoperabilität kann die Sicherheitslösung mit dem Netz wachsen. Dies bedeutet für die Anwender einen sicheren Investitionsschutz. R&S SITLine ETH sichert private und öffentliche Verbindungen über Festnetz, Richtfunk und Satellit. 4

Absicherung von Richtfunk- und Satellitenverbindungen (SatCom) Zur zielgerichteten Steuerung von Einsatzkräften sind präzise und zeitnahe Informationen erforderlich. Lagemeldungen mit Bild- und Videomaterial müssen teilweise über große Distanzen übertragen werden. Dafür werden Richtfunk- und SatCom-Verbindungen eingesetzt, die die Einheiten vor Ort mit der Zentrale (z.b. Leitstelle, Hauptquartier) verbinden oft sogar über Kontinente hinweg. Um die Informationsüberlegenheit sicher zustellen, dürfen die Daten weder manipuliert werden, noch sollten sie Dritten in die Hände fallen Grund genug für den Einsatz einer starken Verschlüsselung. Diese darf jedoch die ohnehin sehr knapp bemessene Bandbreite einer Richtfunkbeziehungsweise SatCom-Verbindung nicht zusätzlich belasten. Gerade in Szenarien mit geringen Bandbreiten werden die konzeptionsbedingten Vorteile von R&S SITLine ETH deutlich: Im Vergleich zu klassischer IP-Verschlüsselung benötigt R&S SITLine ETH deutlich weniger Protokollinformationen (sogenannter Overhead) für die verschlüsselte Übertragung. Die Informationen sind während der gesamten Richtfunkübertragung beziehungsweise den Satelliten-Hops trotz begrenztem Durchsatz gegen Abhören und Manipulieren gesichert. Weitere Informationen zur Absicherung von Satellitennetzwerken siehe Applikationsbroschüre PD 3606.8189.91 und www.rohde-schwarz.com Sicherung der Steuer- und Überwachungsnetze der Bahn Die Steuerung des öffentlichen Transportwesens obliegt zentralen Leitstellen, die von teilweise unbemannten Verkehrsknotenpunkten (z.b. Bahnhöfe, Stellwerke) mit Informationen versorgt werden. Die Automatisierung ermöglicht eine höhere Zugfolge und Pünktlichkeit. Unbemannte Verkehrsknoten müssen jedoch stärker gegen Manipulation abgesichert werden, insbesondere wenn die Anbindung an die Leitstelle über öffentliche Netzwerke erfolgt. Hier wird die Integrität der übertragenen Daten durch kryptografische Funktionen sichergestellt. R&S SITLine ETH verfügt über spezielle Varianten zum Einsatz in härteren Umgebungsbedingungen (z.b. erweiterter Temperaturbereich, Montage mit Hutschiene/DIN Rail, externes Notlöschen). Weitere Informationen zur Absicherung der Steuernetze der Bahn siehe Applikationsbroschüre PD 3606.6505.91 und www.rohde-schwarz.com Rechenzentren-Kopplung (Data Center, SAN) Zentrale Datenzentren eines Unternehmens werden oft redundant aufgebaut. Diese Zentren müssen über leistungsfähige Leitungen sicher miteinander verbunden werden. Die moderne Übertragungstechnik hierfür sind Ethernet-Dienste mit einer Übertragungsleistung von mindestens 100 Mbit/s, in der Regel von mehreren Gbit/s. R&S SITLine ETH wird skalierbar für Anschlüsse im Megabit- und Gigabit-Bereich eingesetzt. Die Multiport- Variante von R&S SITLine ETH kann zusätzlich genutzt werden, um parallel geschaltete Ethernet-Standleitungen effizient zu sichern. R&S SITLine ETH schützt die Steuer- und Überwachungsnetze der Bahn. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsselel 5

Reduzierte Systemkosten R&S SITLine ETH-gesicherte Carrier-Ethernet Dienste ermöglichen im Vergleich zu bisherigen Verschlüsselungslösungen deutliche Einsparungen in den Betriebskosten bei gleichzeitig hoher Sicherheit. Minimaler Aufwand für Installation und Konfiguration Die Integration von R&S SITLine ETH in ein Netzwerk findet vollkommen transparent statt. Außer den Sicherheitsparametern sind keine weiteren netzwerkspezifischen Konfigurationen erforderlich. Ethernet ist eine Plug & Play-Technologie und damit nahezu ohne Konfigurationsaufwand einsatzbereit. Installationszeit und -kosten werden so eingespart. Geringe Raum- und Energiekosten Die kompakte Bauweise, geringe Bauhöhe und verschiedene Geräteklassen ermöglichen einen sparsamen Umgang mit Installationsplatz und Energie. Das Multiport- Gerät übernimmt die Funktion von bis zu vier Geräten, benötigt aber nur den Platz und die Energie eines einzelnen Gerätes. Die Option, mit einem Gerät bis zu vier physikalische Leitungen zu sichern, ist weltweit einmalig. Geringere Übertragungskosten als Managed IP Der deutlich geringere Protokoll-Überhang ( Overhead ) für Ethernet-Verschlüsselung führt zu einem besseren Netto/Brutto-Transport-Verhältnis. Je nach Verkehrsprofil und gewählten Sicherheitsfunktionen ist bei einer Ethernet-Verschlüsselung mit einer Reduktion der Nutzdatenrate von lediglich 0 % bis 13 % zu rechnen. Zum Vergleich: Ein IPsec-gesichertes L3-VPN reduziert die Nutzdatenrate um bis zu 60 %. Nutzdatenrate (Kapazitätsauslastung) Nutzlastanteil an der Übertragung 100 % 90 % 80 % 70 % 60 % 50 % 40 % IP über Ethernet L2-Verschlüsselung ohne Integritätschutz L2-Verschlüsselung mit Integritätschutz IPsec-Verschlüsselung 30 % 250 500 750 1000 1250 1500 Größe der Pakete/Übertragungseinheiten Bei einer mittleren Paketgröße von 250 Byte weist R&S SITLine ETH eine deutlich höhere Nutzdatenrate auf als die IPsec-Verschlüsselung: R&S SITLine ETH: > 90 % (L2-Verschlüsselung) IPsec-Verschlüsselung: 75 % 6

Geringer Wartungs- und Pflegeaufwand Ethernet ist unabhängig von logischen IP-Netzstrukturen. Somit entfallen Anpassungen bei der Integration neuer Anwendungen, beim Anbieterwechsel oder bei Wechsel von höheren Netzwerk protokollen (z.b. IPv4 zu IPv6). Die Erfahrung zeigt, dass der Pflegeaufwand von Layer-2- Systemen aufgrund langer Update- und Upgrade- Zyklen deutlich niedriger ist als bei anderen Lösungen. Bandbreiteneffizienz durch Gruppen- Verschlüsselung (Multipunkt) Traditionelle Verschlüsselungssysteme (wie IPsec) bauen mehrere dedizierte Verbindungen zwischen den Verschlüsselungsgeräten auf, die jeweils mit einem separaten Schlüssel gesichert werden. Daten, die für mehr als nur einen Standort bestimmt sind, wie bei einer Videokonferenz, müssen vervielfältigt und über die einzelnen Verbindungen an die verschiedenen Standorte versendet werden. R&S SITLine ETH wurde für solche Einsatzfälle mit einer innovativen Gruppen-Verschlüsselung ausgestattet. Diese nutzt die Multicast-Fähigkeit moderner Carrier-Netzwerke, ohne Abstriche am Sicherheitsniveau der übertragenen Daten zu machen. Die Daten werden unabhängig von der Empfängeranzahl nur einmal verschlüsselt und gesendet die Verteilung übernimmt das Netz, beziehungsweise der Carrier. Keine Zusatzkosten für zentrale oder interne Schlüsselserver Die für den Betrieb erforderlichen Sitzungsschlüssel werden von den R&S SITLine ETH-Geräten vollständig autark untereinander ausgehandelt und sicher an die berechtigten Kommunikationspartner verteilt. Dedizierte Schlüsselserver sind nicht erforderlich. Der Ausfall eines Gerätes hat keinen Einfluss auf den Betrieb des verbleibenden Netzwerks, da sich Partnergeräte automatisch finden und sichere Verbindungen regelmäßig neu etablieren. R&S SITScope, das zentrale Sicherheitsmanagementsystem für R&S SITLine ETH (siehe Seite 10), wird hauptsächlich für Installation und Überwachung benötigt. Während der Laufzeit organisieren die R&S SITLine ETH- Geräte die Verschlüsselung selbstständig und ohne Zusatzkomponenten. Höhere Übertragungsleistung als IPsec Der reduzierte Overhead bei R&S SITLine ETH wirkt sich positiv auf die Übertragungsleistung aus. Besonders bei Diensten mit kleinen Paketgrößen, wie Voice over IP, wird dies deutlich. Kürzere Antwortzeiten und geringere Latenzen verbessern spürbar die Dienstqualität gegenüber IPsec-gesicherten Verbindungen. Eine höhere Anzahl an VoIP-Verbindungen ist ebenfalls möglich. Übertragungsleistung: Ethernet- und IPsec-Verschlüsselung VoIP SITLine Übertragungsleistung in (PDU/t) 1518 500 64 (Abnehmende) Paketgröße (PDU) in byte IPsec Übertragungsleistung der Ethernet Verschlüsselung (Layer 2) im Vergleich zur IPsec Verschlüsselung (Layer 3): Gerade bei Applikationen mit kleinen Paketgrößen bietet die Absicherung mit R&S SITLine ETH deutliche Vorteile. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 7

Professionelle, zertifizierte Sicherheit Ethernet ist ein etablierter, universeller Standard in der Datenübertragung per Kabel und Luft, beinhaltet jedoch keinen Schutz der Vertraulichkeit oder der Integrität der übertragenen Daten. R&S SITLine ETH liefert diesen Schutz deutlich effektiver und effizienter als andere Lösungen und wurde vom BSI für die Verarbeitung von Verschlusssachen bis VS NfD zugelassen. Sicherung von Ethernet-Standleitungen und Ethernet-VLANs R&S SITLine ETH wurde gemäß Metro-Ethernet-Standard entwickelt und kann Ethernet-Standleitungen, sogenannte Ethernet Private Lines (EPL) verschlüsseln. Hierbei kommunizieren zwei Verschlüsselungsgeräte direkt miteinander, entweder im Transport- oder im Tunnel-Modus. Der Transport-Modus verschlüsselt nur die Nutzdaten (z.b. das IP-Paket) und lässt die Ethernet-Adressinformationen unverändert. Im Tunnel-Modus wird der gesamte Verkehr inklusive Adressen verschlüsselt und als Nutzdaten in neu erstellten Ethernet-Paketen versendet. In Szenarien, in denen zwei Geräte direkt und ohne Switch miteinander verbunden sind, können R&S SITLine ETH100- Geräte und R&S SITLine ETH1G- Geräte alternativ im Bulk-Modus betrieben werden. Der Bulk-Modus verschlüsselt die gesamten Ethernet- Pakete (inkl. Adressinformationen) ohne einen zusätzlichen Overhead hinzuzufügen und bietet so noch höhere Vertraulichkeit bei größtmöglichem Datendurchsatz. Soll ein zentraler Standort sicher mit mehreren entfernten Standorten in einer Sterntopologie vernetzt werden, kann R&S SITLine ETH den Ethernet-Verkehr anhand des verwendeten VLAN einem korrespondierenden R&S SITLine ETH zuordnen. Das erfordert vom Netzwerkanbieter mehrere Ethernet Virtual Private Lines (EVPL), die VLAN-spezifisch mit R&S SITLine ETH verschlüsselt werden. Innovative Gruppen-Verschlüsselung für Multicast Topologien (ELAN) In vollvermaschten Ethernet Local Area Networks (ELANs) verhindert traditionelle Verschlüsselung die Multicast- Fähigkeit des Carrier-Netzes, indem dedizierte Wege zwischen den Verschlüsselungsgeräten aufgebaut werden. Videos und andere Livestreams, die für mehrere Empfänger gedacht sind und per Multicast versendet werden, müssen somit vor dem Versand dupliziert und für jeden Empfänger einzeln verschlüsselt werden. R&S SITLine ETH50. 8

Gerade in solchen Umgebungen kann R&S SITLine ETH zur Gruppen-Verschlüsselung des Netzwerkverkehrs eingesetzt werden ohne die Multicast-Fähigkeit zu beeinflussen. Das Sicherheitsniveau ist identisch zur traditionellen Verschlüsselung mit dedizierten Wegen, denn trotz Gruppierung verwendet jedes R&S SITLine ETH-Gerät weiterhin seinen eigenen Sitzungsschlüssel für den abgehenden Netzwerkverkehr. Zusätzlich berücksichtigt die Gruppen-Verschlüsselung eventuell vorhandene MPLS-Netzwerke. Die für das Routing erforderlichen MPLS-Markierungen (normalerweise Bestandteil der zu verschlüsselnden Nutzdaten) werden erkannt und können unverschlüsselt übertragen werden. Sichere Authentisierung R&S SITLine ETH nutzt zur sicheren Authentisierung folgende Technologien und Standards: Asymmetrische Kryptografie mittels elliptischer Kurven mit 257-bit-Schlüssel (entspricht ca. 3200 bit RSA) X.509 v3-zertifikate für Personen und Geräte Gesicherte Ablage und Transport vertraulicher Parameter durch Smartcard-Technologie Automatischer Aufbau und Betrieb gesicherter Verbindungen Jedem Verbindungsaufbau geht eine sichere Authentisierung der Teilnehmer voraus. Dazu werden individuelle Gerätezertifikate genutzt. Für jede Managementverbindung und jede zu sichernde Datenverbindungen wird ein eigenständiges Schlüssel-Set generiert. Die Schlüsselvereinbarung erfolgt nach dem Diffie-Hellman-Verfahren. R&S SITLine ETH nutzt zur Schlüsselerzeugung einen Hardware-basierten Zufallszahlengenerator, der Common Criteria EAL4+ zertifiziert ist. Automatisierter Betrieb gesicherter Verbindungen Die Gerätezertifikate bestimmen, welche Partner zur Verbindungsaufnahme berechtigt sind. Mit jedem berechtigten Kommunikationspartner werden sichere Verbindungen etabliert und von Ende zu Ende auf fehlerfreie Funktion überwacht. Abgelaufene Gerätezertifikate und Sitzungsschlüssel werden vollautomatisch erneuert. Gesicherte Verbindungen entstehen bei Änderungen der Netzwerkkonfiguration automatisch. Eine unwissentliche oder unbemerkte Kommunikation über ungesicherte Verbindungen ist ausgeschlossen. Flexible Verschlüsselungshardware Es werden symmetrische Algorithmen (AES 256) verwendet, die in in eine leistungsfähige Hardware integriert sind. Kundenwünsche bezüglich kryptografischer Verfahren können auf Anfrage berücksichtigt werden. Manipulationsresistente Geräte R&S SITLine ETH verfügt neben den kryptografischen Kernfunktionen über ein abgestimmtes System mechanischer und elektromechanischer Schutzfunktionen. Dazu gehören gestaffelte Sicherheitszonen, ein geschützter Speicher, Schutzmechanismen gegen mechanische Manipulation und weitere Sicherungsfunktionen gegen Versuche, die geschützten Geheimnisse zu entwenden oder zu manipulieren. R&S SITLine ETH50 R&S SITLine ETH50 R&S SITLine ETH wird vorkonfiguriert zum Einsatzsort geschickt und etabliert bei Inbetriebnahme automatisch sichere L2 Verbindungen. Gleiches gilt für Backup Geräte. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 9

Zentrales Sicherheits management über das Netz R&S SITScope ist das Sicherheits management system für die R&S SITLine ETH EthernetVerschlüsseler. R&S SITScope basiert auf einer Client-Server-Architektur und ist als vorinstallierte Appliance oder als separate Software für Windows erhältlich. Für den sicheren Umgang mit Benutzerund Gerätezertifikaten werden in USB-Token integrierte Smartcards genutzt. Online, bequem und sicher Der Server von R&S SITScope fungiert wie die Certificate Authority (CA) einer PKI und wird in einer s icheren Umgebung (Rechenzentrum mit Zutrittskontrolle) betrieben. Der Client läuft auf den Arbeitsplatzrechnern der Administratoren. Die Kommunikation zwischen Server und Client sowie zwischen Server und Verschlüsselungsgerät findet über TLS/SSL-gesicherte Verbindungen statt. R&S SITScope kommuniziert über das zu verschlüsselnde Netzwerk (Inband) oder über ein dediziertes Management-Netzwerk (Outband) mit R&S SITLine ETH. Zur Konfiguration der R&S SITLine ETH-Verschlüsselungsgeräte wird in R&S SITScope zentral ein Netzplan angelegt. Der Netzplan enthält Geräteparameter (z.b. IP- Adressen für das Gerätemanagement), die Betriebsarten der Geräte (z.b. Bulk, VLAN) und ihre Kommunikations beziehungen zueinander (verschlüsselt/unverschlüsselt). Basierend auf dem Netzplan werden die Gerätezertifikate und deren private Schlüssel erstellt und auf R&S SITLine ETH-Geräte verteilt. Nachdem R&S SITLine ETH einmalig mittels USB-Geräte token initialisiert wurde, ist es für alle Management aufgaben online verfügbar. Egal ob Re- Konfiguration, Zertifikatswechsel oder Firmware-Update mit R&S SITScope erledigen die Administratoren die Management aufgaben bequem von ihrem Arbeitsplatz aus. Eventuell entwendete oder gar kompromittierte R&S SITLine ETH-Geräte werden mittels R&S SITScope in Zertifikatssperrlisten (CRL) erfasst, die online im Netzwerk publiziert werden. R &S SITScope ist ausschließlich für das Management der einzelnen Geräte erforderlich im Betrieb bestimmt R&S SITLine ETH die Sitzungsschlüssel unabhängig von einem vorhandenen R&S SITScope. Für sicherheitsrelevante Einstellungen von R&S SITLine ETH steht den Administratoren das R&S SITScope Sicherheitsmanagementsystem zur Verfügung. 10 SITLine-ETH_bro_de_5214-0724-11_v0600.indd 10 15.05.2013 13:58:16

Virtualisierbar und hochverfügbar Wird R&S SITScope als Software bezogen, kann der Server auch in virtuellen Umgebungen (Virtual Box, VM Ware) betrieben werden. Als Hardware-Sicherheitsanker nutzt R&S SITScope eine in einen USB-Stick integrierte Smartcard. Dieser sogenannte Root-Token wird für die sichere Erstellung und Anwendung des Ursprungsgeheimnisses genutzt und muss während des Betriebes am Server permanent verfügbar sein. Der Betrieb von R&S SITScope kann durch redundante Instanzen auch hochverfügbar gestaltet werden. Netzplan und Geräteparameter werden zwischen den Instanzen synchronisiert. Jedes R&S SITLine ETH-Gerät sucht nach seiner Aktivierung selbstständig einen Weg zum R&S SITScope-Server. Dafür werden IP-Protokolle (Layer 3) auf allen verfügbaren Netzwerkverbindungen genutzt und Partnergeräte per Ethernet (Layer 2) nach möglichen R&S SITScope-Instanzen abgefragt. Fällt während des Betriebs eine Managementverbindung aus, sucht R&S SITLine ETH eigenständig und automatisch nach alternativen Verbindungen ( Selbstheilung ). Klar definierte Rollen R&S SITScope bietet die Möglichkeit, über sogenannte Rollen klar differenzierte Rechte an Administratoren zu vergeben, zu verwalten und lückenlos zu protokollieren. Rollen sind an die entsprechenden USB-Benutzer-Token und das zugehörige Zertifikat gebunden ein Missbrauch oder die Manipulation von Rechten sind nicht möglich. Es stehen die Rollen Supervisor, Manager und Monitor zur Verfügung. Ein Supervisor darf grundlegende Einstellungen und Funktionen des Sicherheitsmanagements vornehmen und Benutzer verwalten. Er verwaltet keine Geräte. Manager sind für die Konfiguration und Überwachung der R&S SIT- Line ETH-Geräte verantwortlich. Ein Manager kann keine Benutzer verwalten. Ein Monitor kann ausschließlich Betriebszustände überwachen, aber keine Änderungen vornehmen. Unauthorisierte Eingriffe in das eigenständige und geschlossene Sicherheitsmanagement sind nicht möglich. Zentrale Stelle für Log-Dateien und Audits R&S SITScope sammelt die dezentral an jedem R&S SITLine ETH-Gerät anfallenden Log-Informationen und speichert diese, bis sie durch einen Administrator bestätigt wurden. R&S SITScope bietet professionelle Audit- Möglichkeiten, um Vorgänge verschiedener R&S SITLine ETH-Geräte zusammenzufassen und zu analysieren. Zusätzlich können Log-Informationen von R&S SITScope an Syslog-Server im Netzwerk weitergeleitet werden. Sicherheitsmanagement TLS SITScope Sicherheitsmanagement Supervisor TLS TLS Manager LAN Carrier LAN TLS Monitor Die Administratoren können die Sicherheitsparameter aller Geräte bequem vom Arbeitsplatz über das Netzwerk einstellen. Dazu authentisieren sie sich lediglich mit ihrem USB Benutzer Token gegenüber R&S SITScope. R&S SITLine ETH100/R&S SITLine ETH1G verfügt ebenfalls über Anschlüsse für ein separates Management Netzwerk (Outband). Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 11

Netzwerkmanagement mittels SNMP Mittels Simple Network Management Protocol (SNMP) können Netzwerkeinstellungen an R&S SITLine ETH Geräten vorgenommen werden. Zusätzlich bieten die Geräte detaillierte Daten zur Überwachung und umfangreiche Diagnosemöglichkeiten per SNMP an. Dazu werden das mitgelieferte Programm R&S SITLine Admin oder beliebige SNMP Browser verwendet. Unterstützt SNMP v1, v2c und v3 Über das Netzwerkmanagement werden netzwerkrelevante Einstellungen an den R&S SITLine ETH- Verschlüsselungsgeräten vorgenommen. Hierzu zählen Basis-Konfigurationen, wie Geschwindigkeit und Duplex- Verhalten der Ethernet-Anschlüsse. Erweiterte Konfigurationen sind ebenfalls möglich, wie Ethernet Operation and Maintenance (OAM) oder fest eingestellte VLANs für die Netzwerksuche. Die dafür erforderliche Benutzeridentifizierung findet mit SNMP v1/2c durch die Community Strings statt. Mit SNMP v3 werden Anmeldeinformationen (Benutzer/Passwort) eingestellt und sicher verifiziert. Umfangreiche Monitoring- und Diagnose-Möglichkeiten Jedes R&S SITLine ETH-Gerät bietet umfangreiche Statistiken, die per SNMP abgerufen werden können, wie die Anzahl der verschlüsselt/unverschlüsselt über tragenen Ethernet-Rahmen. Wurden Ethernet-Rahmen geblockt, weil sie redundant waren (Replay Attacks), wird das ebenfalls erfasst. R&S SITLine ETH informiert aktiv das SNMP- Netzwerkmanagement mittels Traps (SNMP v1) oder Notifications (SNMP v2c/3) über Netzwerk-Ereignisse. Zur Fehlersuche können für jeden Port Loop-Back- Diagnosen durchgeführt werden (die kurze Payload- Diagnose oder die lange Inward-Diagnose). Netzwerkmanagement durch Dienstleister Für das Sicherheitsmanagement mittels R&S SITScope und das Netzwerkmanagement mittels SNMP können jedem Verschlüsselungsgerät separate IP-Adressen zugeteilt werden. Das Netzwerkmanagement kann außerdem aus dem Carrier-Netzwerk heraus erfolgen. Das ermöglicht Outsourcing- Modelle, in denen R&S SITLine ETH für das Netzwerk management per SNMP für einen Dienst leister erreichbar ist, die Sicherheit jedoch vollständig beim Auftraggeber verbleibt. Netzwerkmanagement mittels SNMP Netzbetreiber SNMP SNMP Auftraggeber LAN Carrier LAN LAN2 Um Netzwerkeinstellungen vorzunehmen und Statusinformationen abzufragen wird SNMP entweder innerhalb des lokalen Netzwerks (blaue Pfeile) oder aus dem Carrier Netzwerk (schwarze Pfeile) genutzt. Administrator und Dienstleister authentisieren sich mit SNMP Community Strings beziehungsweise SNMP Credentials gegenüber R&S SITLine ETH. Sicherheits einstellungen bleiben unberührt. 12

Technische Kurzdaten R&S SITScope Minimale Systemanforderungen für die R&S SITScope-Serversoftware Betriebssystem Windows XP SP2, Windows Server 2003, Windows Server 2008 (32/64 bit) Festplatte min. 160 Gbyte freier Speicherplatz Arbeitsspeicher min. 2 Gbyte Netzwerk (NIC) min. 1 Fast-Ethernet-Port USB-Schnittstellen min. 4 freie USB-Ports Minimale Systemanforderungen für die R&S SITScope-Clientsoftware Betriebssystem Windows XP SP2, Windows Server 2003, Windows Server 2008 (32/64 bit), Windows 7 Festplatte min. 5 Gbyte freier Speicherplatz Arbeitsspeicher min. 2 Gbyte Netzwerk (NIC) min. 1 Ethernet-Port (empfohlen 100 Mbit/s) USB-Schnittstellen min. 2 freie USB-Ports Vorinstallierte R&S SITScope-Appliance Formfaktor Rackformat (19", 1 HE) mit redundantem Netzteil Betriebssystem Windows Server 2008 Festplatte gespiegelt, RAID1 Peripherie Tastatur, Maus, Vier-Port-USB-Hub Für das Netzwerkmanagement wird das mitgelieferte Programm R&S SITLineAdmin genutzt. Andere SNMP-Browser wie HP OpenView können ebenfalls verwendet werden. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsselel 13

Technische Kurzdaten R&S SITLine ETH R&S SITLine ETH1G R&S SITLine ETH100 R&S SITLine ETH50 Ethernet, Anschlüsse Anzahl Leitungen pro Gerät 1 1, 2 oder 4 1 Stecker/Transceiver optisch, elektrisch, elektrisch, wechselbar (SFP) elektrisch, fest eingebaut wechselbar (SFP) Leistung/Durchsatz pro Leitung 1 Gbit/s 100 Mbit/s 25 Mbit/s, 50 Mbit/s, 100 Mbit/s Anzahl Verbindungen 4000 4000 250 Unterstützte Ethernet-Dienste E-Line (EPL, EVPL/VLAN) E-LAN (EPLAN, EVPLAN/VLAN) Kryptografie und Sicherheit Transport-/Tunnel-Modus Bulk-Modus ( Back-to-Back ) Gruppen-Verschlüsselung (Multipunkt) (MPLS-transparent) (MPLS-transparent) (MPLS-transparent) Asymmetrisch 257-bit-ECC-Schlüssel (entspricht ungefähr 3200 bit RSA-Schlüssel) Schlüsselvereinbarung nach Diffie-Hellmann (DH-ECKAS) Digitale Signatur ECDSA Authentisierung X.509 v3-zertifikate Symmetrisch AES mit 256-bit-Schlüssel, CFB Interleaved Mode, GCM, andere Standardalgorithmen oder kundenspezifische Algorithmen auf Anfrage Externes Notlöschen Notlöschen nach Trennen der Stromversorgung Managementsysteme nach 2 Tagen nach 2 Tagen nach 1 bis 7 Tagen (konfigurierbar, deaktivierbar) Sicherheits- und Konfigurationsmanagement mit R&S SITScope online über das Netzwerk Sicherheitsmanagement-Ports Inband, Outband Inband, Outband Inband Netzwerkmanagement mit SNMP v1, v2c, v3 unabhängig vom Sicherheitsmanagement mit R&S SITLine Admin Netzwerkmanagement-Ports Inband, Outband Inband, Outband Inband Zulassungen/Zertifizierungen BSI VS-NfD VS-NfD VS-NfD NATO-Restricted NATO-Restricted NATO-Restricted EANTC Interoperability Test Interoperability Test Interoperability Test Schlüsselgenerierung (TRNG) Common Criteria EAL 4+ Common Criteria EAL 4+ Common Criteria EAL 4+ CE Approval Allgemeine Daten Betriebstemperatur +5 C bis +50 C 20 C bis +70 C Lagertemperatur (nicht initialisiert) 20 C bis +70 C 40 C bis +70 C MTBF (Verfügbarkeit) 47 000 h (99,9830 %) 46000 h (99,9826 %) 350 000 h (99,9977%) Spannungsversorgung 110 V oder 240 V/50 Hz oder 110 V oder 240 V/50 Hz oder 24 V bis 60 V DC, redundant 60 Hz, redundant, Hot-Swap 60 Hz, redundant, Hot-Swap Maße und Gewicht Formfaktor Rackformat (19")/1 HE halbes Rackformat (7,5")/1 HE, Hutschiene (DIN-Rail) Abmessungen (B H T) 438 mm 44 mm 596 mm 190 mm 36 mm 190 mm Gewicht max. 7,6 kg (inkl. Einbauvorrichtungen) max. 1,5 kg Versandgewicht max. 18,5 kg max. 3 kg 14

Bestellangaben Bezeichnung Typ Bestellnummer R&S SITLine ETH50, halbes Rackformat (7,5"), 1 HE Ethernet-Verschlüsseler, 1 Line, 25 Mbit/s R&S SITLine ETH50-25 5401.8830K02 Ethernet-Verschlüsseler, 1 Line, 50 Mbit/s R&S SITLine ETH50-50 5401.8830K02 Ethernet-Verschlüsseler, 1 Line, 100 Mbit/s R&S SITLine ETH50-100 5401.8830K02 R&S SITLine ETH100, Rackformat (19"), 1 HE Ethernet-Verschlüsseler, 1 Line, 100 Mbit/s R&S SITLine ETH100-110 5401.7004K11 Ethernet-Verschlüsseler, 2 Lines, 100 Mbit/s R&S SITLine ETH100-210 5401.7004K12 Ethernet-Verschlüsseler, 4 Lines, 100 Mbit/s R&S SITLine ETH100-410 5401.7004K13 R&S SITLine ETH1G, Rackformat (19"), 1 HE Ethernet-Verschlüsseler, 1 Line, 1 Gbit/s R&S SITLine ETH1G-110 5401.6820K11 R&S SITLine Geräte-Token (ein Token pro Gerät erforderlich) Geräte-Token, USB/Smartcard 5410.0650.04 R&S SITScope, Sicherheitsmanagement Set bestehend aus Software und Tools auf CD (Server- und Clientsoftware, R&S SITLine-Admin, R&S SITLine-Terminal), USB-Token (3 Root, 2 Supervisor, 2 Manager), USB-Kabel Typ A zu B R&S SITScope-Set 5410.8400K53 R&S SITScope-Set vorinstalliert auf Serverhardware R&S SITScope-Appliance 5410.8400K13 Zubehör zu R&S SITLine ETH50 USB-Kabel Typ A zu B, für lokale Initialisierung 1502.0567.00 Externe Stromversorgung für R&S SITLine ETH50, 110 V bis 240 V, 50/60 Hz 5401.8898.00 Zubehör zu R&S SITLine ETH100/R&S SITLine ETH1G Elektrischer SFP-Transceiver (10/100/1000BaseT) für R&S SITLine ETH100 und 5401.8198.00 R&S SITLine ETH1G Optischer SFP-Transceiver (1000BaseSX) für R&S SITLine ETH1G 4055.6412.00 Optischer SFP-Transceiver (1000BaseLX) für R&S SITLine ETH1G 5401.8181.00 Zubehör zu R&S SITScope Manager-Token, USB/Smartcard 5410.0650.02 Root-Token, USB/Smartcard 5410.0650.03 Supervisor-Token, USB/Smartcard 5410.0650.05 Handbücher Benutzerhandbuch R&S SITLine ETH100/R&S SITLine ETH1G, Deutsch 5401.8900.31 Benutzerhandbuch R&S SITLine ETH50, Deutsch 5401.8875.31 User manual R&S SITLine ETH100/R&S SITLine ETH1G, English 5401.8900.32 User manual R&S SITLine ETH50, English 5401.8875.32 Benutzerhandbuch R&S SITScope, Deutsch 5410.8439.31 User manual R&S SITScope, English 5410.8439.32 Datenblatt zu R&S SITLine ETH100/1G, siehe PD 5214.0724.22, Datenblatt zu R&S SITLine ETH50, siehe PD 5214.4607.22, und www.sit.rohde-schwarz.com Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsselel 15

Service Ihres Vertrauens Weltweit Lokal und persönlich Flexibel und maßgeschneidert Kompromisslose Qualität Langfristige Sicherheit Rohde & Schwarz Der Elektronikkonzern Rohde & Schwarz ist ein führender Lösungsanbieter in den Arbeitsgebieten Messtechnik, Rundfunk, Funküberwachung und -ortung sowie sichere Kommunikation. Vor mehr als 75 Jahren gegründet, ist das selbst ständige Unternehmen mit seinen Dienstleistungen und einem engmaschigen Servicenetz in über 70 Ländern der Welt präsent. Der Firmensitz ist in Deutschland (München). Der Umwelt verpflichtet Energie-effiziente Produkte Kontinuierliche Weiterentwicklung nachhaltiger Umweltkonzepte Certified Quality System ISO 9001 Rohde & Schwarz SIT GmbH Am Studio 3 D-12489 Berlin +49 30 65884-223 Fax +49 30 65884-184 E-mail: info.sit@rohde-schwarz.com www.sit.rohde-schwarz.com Rohde & Schwarz GmbH & Co. KG www.rohde-schwarz.com Kontakt Europa, Afrika, Mittlerer Osten +49 89 4129 12345 customersupport@rohde-schwarz.com Nordamerika 1 888 TEST RSA (1 888 837 87 72) customer.support@rsa.rohde-schwarz.com Lateinamerika +1 410 910 79 88 customersupport.la@rohde-schwarz.com Asien/Pazifik +65 65 13 04 88 customersupport.asia@rohde-schwarz.com China +86 800 810 8228/+86 400 650 5896 customersupport.china@rohde-schwarz.com R&S ist eingetragenes Warenzeichen der Rohde & Schwarz GmbH & Co. KG Eigennamen sind Warenzeichen der jeweiligen Eigentümer Printed in Germany (ch) PD 5214.0724.11 Version 06.00 Mai 2013 R&S SITLine ETH Daten ohne Genauigkeitsangabe sind unverbindlich Änderungen vorbehalten 2008-2013 Rohde & Schwarz GmbH & Co. KG 81671 München, Germany 5214072411

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback